信息安全意识培训2.pptVIP

信息安全意识培训 2018年8月9日星期四 主讲人：张工 内容大纲 什么是信息安全 1 2 3 信息安全意识 如何做好信息安全 什么是信息安全 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。 什么是信息 对于现代企业来说，信息是一种资产，包括电子文件、纸质文件、图纸、标准、专利、报价短信消息、电话汇报等，信息资产是具有重要价值。 以下哪些属于信息? 数据 专利 计算机 文件 声音 纸 什么是信息 信息安全意识 信息安全意识（Information Security Awareness），就是能够认知可能存在的信息安全问题，预估信息安全事故对组织的危害，恪守正确的行为方式，并且执行在信息安全事故发生时所应采取的措施。 信息安全的目标 确保信息及资源在有需要的时候可以正常使用。 确保信息在生成、传输、保存过程中不会被恶意修改。 确保信息在生成、传输、保存过程中不会被泄漏。 信息保密级别定义 我们的目标 建立对信息安全的敏感意识和正确认识 掌握信息安全的基本概念、原则和惯例 清楚可能面临的威胁和风险 遵守各项安全策略和制度 在日常工作中养成良好的安全习惯 最终提升整体的信息安全水平 信息安全管理措施 物理安全 安全目标 防止物理设备在未授权的情况下被访问、或损坏，确保硬件的绝对安全，尽量做到点对点，减少中间的流转环节。尽量对移动存储器中的内容进行加密设置，防止未授权人员对其进行访问。 物理安全 案例说明 1、全球每隔53秒钟就会有一台笔记本电脑失窃——Software Insurance； 2、97%的失窃笔记本电脑都没有希望找回——FBI 3、你的笔记本电脑失窃的几率为10%，这意味着每十个人中就有一个人会丢失笔记本电脑——Gartner Group 4、……  惠普公司提供服务的富达投资公司的几名员工在公司以外场所使用时被盗的。 这台笔记本电脑中储存了惠普公司的19.6 万现有员工和以前员工的相关资料。具体资料包括员工姓名、地址、社会保险号、生日和其他一些与员工有关的资料。 物理安全 案例说明 2006年5月，美国退伍军人事务部的一名员工家被盗，其中丢失的一台笔记本电脑中存有包括自1975年以来大约2650万名美国退伍军人及其部分家属的姓名、出生日期和社会安全号码等个人信息，甚至还包括这些退伍军人的配偶、身体健康状况等。尽管有前车之鉴，但类似的事件仍然层出不穷。 据统计丢失一台未加密的商用电脑损失平均达30万人民币 物理安全 控制措施 物理区域设置门卫或门禁，非工作人员出入需登记； 严禁所有人员携带个人电脑进入公司，客户及供应商电脑如需要进入公司需进行登记，禁止接入公司网络； 所有人员不得将门禁卡借与他人使用； 人员下班或较长时间离开房间时，房间门上锁； 文件柜、保险柜、档案柜上锁； 打印/复印后要及时取走； 作废的机密文档要以碎纸机碎掉或撕成碎块，不要直接作为垃圾丢弃； 个人宿舍员工个人电脑仅限于宿舍区内使用。 物理安全 移动介质是最经常丢失引起数据泄露最方便的方式。 移动介质包括：笔记本电脑、掌上型电脑、移动硬盘、U盘、光盘、磁带、存储卡及带有数据存储功能的可移动设备（如MP3播放器，智能手机）等。 物理安全 个人移动存储设备严禁带入公司内部网络使用。 控制措施 信息安全管理措施 密码安全 安全目标 防止口令被破解而导致感染病毒，或中木马； 防止口令被破解而导致泄露公司敏感信息。 密码安全 案例说明 破解Windows操作系统口令； 14位数字口令：只需3秒即可破解； 5位字母口令：只需60秒即可破解； 破解电子邮箱口令； 破解时间与口令复杂度有关； 简单口令：只需30秒即可破解。 密码安全 案例说明 相册密码被破解，不雅照片流传； 电脑密码被破解，重要资料被泄露； QQ密码被破解，向QQ上的好友借钱。 密码安全 事件分析 简单口令是不安全的，很容易被破解； 口令被破解后的影响非常严重，会导致； 信息被泄露； 行为被监控； 机器被操制； 成为新的病毒传染源； 成为新的木马扩散点。 密码安全 控制措施 口令设置时应避免使用以下组合： 生日 电话号码 身份证号码 用户名 姓名的拼音 英文名 其它系统已使用的口令 其它容易被别人猜测的内容 密码安全 控制措施 不安全的口令举例： 短口令（少于8个字符）：okokok 简单数字口令简单英文单词：desktop 简单英文词组：comeonbaby 姓名拼音+常见数字：PETER2008 帐户+电话：pete密码安全 控制措施 安全的口令应当同时包含以下内容： 大写字母 小写字母